CherryBlos Mobile Malware verbergt zich in valse Google Play-apps

Er is een waarschuwing afgegeven door onderzoekers met betrekking tot twee malwarecampagnes genaamd CherryBlos en FakeTrade, gericht op Android-gebruikers voor diefstal van cryptocurrency en andere financieel gemotiveerde zwendel. De cybercriminelen achter deze campagnes hebben de malware verspreid via valse Android-applicaties op Google Play, socialemediaplatforms en phishing-websites.

Trend Micro onthulde in een recent rapport dat zijn onderzoekers onlangs beide malwarestammen hadden ontdekt en hadden opgemerkt dat ze dezelfde netwerkinfrastructuur en applicatiecertificaten gebruikten. Dit geeft aan dat dezelfde bedreigingsactor waarschijnlijk verantwoordelijk is voor beide campagnes.

CherryBlos onderscheidt zich door zijn vermogen om optische tekenherkenning (OCR) te gebruiken om geheugensteuntjes in afbeeldingen op gecompromitteerde apparaten te lezen en deze gegevens vervolgens naar zijn command-and-control-server (C2) te verzenden. Deze ezelsbruggetjes worden gebruikt in cryptocurrency om het herstel of herstel van een crypto-portemonnee te vergemakkelijken. De bedreigingsactor achter deze malware lijkt zich niet op een specifieke regio te richten, maar op slachtoffers wereldwijd. Ze vervangen bronreeksen en uploaden deze kwaadaardige apps in verschillende Google Play-regio's, waaronder Maleisië, Vietnam, de Filippijnen, Indonesië, Oeganda en Mexico.

CherryBlos gaat achter crypto-portemonnees aan

De CherryBlos-campagne richt zich op het stelen van aan cryptocurrency-portemonnee gerelateerde inloggegevens en het wijzigen van het portemonnee-adres van een slachtoffer tijdens opnames. Om de nep-Android-apps die de malware bevatten te promoten, gebruikt de operator platforms zoals Telegram, TikTok en X (voorheen bekend als Twitter) om advertenties weer te geven. Deze advertenties leiden gebruikers meestal naar phishing-sites die de schadelijke apps hosten. Enkele van de geïdentificeerde valse Android-apps die CherryBlos bevatten, zijn GPTalk, Happy Miner, Robot99 en SynthNet.

Net als bij andere trojans voor Android-bankieren, heeft CherryBlos toegankelijkheidsrechten nodig om te functioneren. Deze machtigingen zijn ontworpen om de bruikbaarheid voor gebruikers met een handicap te verbeteren, door functies mogelijk te maken zoals het hardop voorlezen van scherminhoud, het automatiseren van taken en het bieden van alternatieve manieren om met het apparaat te communiceren. Wanneer een gebruiker de app met CherryBlos opent, vraagt een pop-up hen om toegankelijkheidsrechten in te schakelen.

Zodra CherryBlos op een apparaat is geïnstalleerd, haalt het twee configuratiebestanden op van zijn C2 en gebruikt het verschillende methoden om anti-malwarecontroles te behouden en te vermijden. De persistentiemechanismen van de malware omvatten het automatisch toekennen van toestemmingsverzoeken en het omleiden van gebruikers naar het startscherm wanneer ze toegang proberen te krijgen tot de instellingen van de app.

In de FakeTrade-campagne gebruikte de dreigingsactor minstens 31 valse Android-apps om de malware te verspreiden. Veel van deze apps hadden winkelgerelateerde thema's en beweerden dat gebruikers geld konden verdienen door taken uit te voeren of extra credits te kopen. Gebruikers die hiervoor vielen, konden hun verdiensten later echter niet opnemen. Hoewel Google in 2021 en de eerste drie kwartalen van 2022 alle nep-apps in verband met de FakeTrade-campagne uit de Play Store heeft verwijderd, vormt de malware nog steeds een grote bedreiging voor Android-gebruikers. De cybercriminelen gebruikten geavanceerde ontwijkingstechnieken, zoals het verpakken van software, verduistering en het misbruiken van de toegankelijkheidsservice van Android.

Over het algemeen hebben de CherryBlos- en FakeTrade-campagnes de noodzaak van constante waakzaamheid bij het gebruik van Android-apparaten benadrukt. Gebruikers moeten voorzichtig zijn bij het downloaden van applicaties en op hun hoede zijn voor verleidelijke aanbiedingen die te mooi lijken om waar te zijn. Door regelmatig beveiligingssoftware bij te werken en op de hoogte te zijn van phishingpogingen, kunt u zich beter beschermen tegen dergelijke kwaadaardige campagnes.